Чанде пеш мо ҳалли худро дар сервери терминали Windows амалӣ кардем. Чун маъмулӣ, онҳо миёнабурҳои пайвастшавӣ ба мизҳои кормандон партофтанд ва ба онҳо гуфтанд, ки кор кунанд. Аммо маълум шуд, ки корбарон аз нуқтаи назари киберамният тарсиданд. Ва ҳангоми пайваст шудан ба сервер, паёмҳои монанди: "Оё шумо ба ин сервер эътимод доред? Махз?», тарсиданд ва ба мо ру оварданд - оё ҳамааш хуб аст, ОК-ро пахш карда метавонем? Сипас тасмим гирифта шуд, ки ҳама чизро зебо анҷом диҳед, то саволу воҳима нашавад.

Агар корбарони шумо то ҳол бо тарси шабеҳ назди шумо меоянд ва шумо аз тафтиши қуттии "Дигар напурсед" хаста шудаед, ба гурба хуш омадед.

Қадами сифр. Масъалаҳои омодагӣ ва эътимод

Ҳамин тавр, корбари мо файли захирашударо бо тамдиди .rdp клик мекунад ва дархости зеринро мегирад:

Пайвастагии "зараровар".

Барои аз ин тиреза халос шудан, аз утилитаи махсуси номдор истифода баред RDPSign.exe. Ҳуҷҷатҳои пурра дастрас мебошанд, чун маъмул, дар сомонаи расмӣ, ва мо мисоли истифодаро дида мебароем.

Аввалан, мо бояд барои имзо кардани файл шаҳодатнома гирем. Ӯ метавонад:

• оммавй.
• Аз ҷониби хадамоти дохилии сертификатсия дода шудааст.
• Комилан худаш имзо карда шудааст.

Муҳимтар аз ҳама он аст, ки шаҳодатнома қобилияти имзо карданро дорад (бале, шумо метавонед интихоб кунед
муҳосибон имзои рақамӣ доранд) ва компютерҳои муштарӣ ба ӯ эътимод доштанд. Дар ин ҷо ман сертификати худ имзошударо истифода хоҳам кард.

Ба шумо хотиррасон мекунам, ки эътимод ба шаҳодатномаи худ имзошуда метавонад бо истифода аз сиёсатҳои гурӯҳӣ ташкил карда шавад. Тафсилоти каме бештар дар зери спойлер мавҷуд аст.

Бо истифода аз Magic GPO чӣ гуна шаҳодатномаро боэътимод сохтан мумкин аст

Аввалан, шумо бояд сертификати мавҷударо бе калиди махфӣ дар формати .cer гиред (инро тавассути содироти сертификат аз snap-in Certificates анҷом додан мумкин аст) ва онро дар папкаи шабакавӣ ҷойгир кунед, ки корбарон онро хонда метавонанд. Пас аз ин, шумо метавонед Сиёсати гурӯҳро танзим кунед.

Воридоти сертификатҳо дар қисмат танзим карда мешавад: Конфигуратсияи компютер - Сиёсат - Танзимоти Windows - Танзимоти амният - Сиёсати калидҳои ҷамъиятӣ - Мақомотҳои сертификатсияи решаи боэътимод. Баъдан, барои ворид кардани сертификат, тугмаи ростро клик кунед.

Сиёсати танзимшуда.

Компютерҳои муштарӣ акнун ба сертификати худ имзошуда эътимод хоҳанд кард.

Агар масъалаҳои эътимод ҳал шаванд, мо бевосита ба масъалаи имзо мегузарем.

Қадами як. Мо файлро ба таври возеҳ имзо мекунем

Шаҳодатнома ҳаст, акнун шумо бояд изи ангушти онро пайдо кунед. Танҳо онро дар қисмати "Сертификатҳо" кушоед ва онро ба ҷадвали "Композиция" нусхабардорӣ кунед.

Изи ангушт ба мо лозим аст.

Беҳтар аст, ки онро фавран ба шакли дуруст ворид кунед - танҳо ҳарфҳои калон ва бидуни фосила, агар мавҷуд бошад. Инро метавон ба осонӣ дар консоли PowerShell бо фармон иҷро кард:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Пас аз гирифтани изи ангушт дар формати зарурӣ, шумо метавонед ба файли rdp бехатар имзо гузоред:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Дар куҷо .contoso.rdp роҳи мутлақ ё нисбии файли мост.

Пас аз имзои файл, тағир додани баъзе параметрҳо тавассути интерфейси графикӣ дигар ғайриимкон хоҳад буд, ба монанди номи сервер (воқеан, вагарна маънои имзо кардан чист?) Ва агар шумо танзимотро бо муҳаррири матн иваз кунед, имзо «парад».

Акнун, вақте ки шумо миёнабурро ду маротиба пахш мекунед, паём дигар мешавад:

Паёми нав. Ранг камтар хатарнок аст, аллакай пешрафт.

Биёед аз ӯ ҳам халос шавем.

Қадами дуюм. Ва боз саволҳои эътимод

Барои аз ин паём халос шудан ба мо боз ба Сиёсати гурӯҳӣ лозим мешавад. Ин дафъа роҳ дар қисмати Конфигуратсияи компютер - Сиёсат - Шаблонҳои маъмурӣ - Компонентҳои Windows - Хидматҳои мизи кории дурдаст - Мизоҷи пайвасти мизи кории дурдаст - изи ангуштони SHA1-и шаҳодатномаҳои ноширони боэътимоди RDP-ро нишон диҳед.

Сиёсати ба мо лозим.

Дар сиёсат изи ангуштеро, ки аллакай барои мо аз қадами қаблӣ шинос аст, илова кардан кофист.

Қобили зикр аст, ки ин сиёсат иҷозати файлҳои RDP аз ноширони эътибор ва сиёсати танзимоти пешфарзии RDP-ро бекор мекунад.

Сиёсати танзимшуда.

Войла, ҳоло саволҳои аҷибе нест - танҳо дархост барои воридшавӣ ва парол. Хм…

Қадами сеюм. Воридшавии шаффоф ба сервер

Воқеан, агар мо ҳангоми ворид шудан ба компютери домен аллакай ворид шуда бошем, пас чаро мо бояд ҳамон логин ва паролро дубора ворид кунем? Биёед маълумоти эътимодномаро ба сервер "шаффоф" интиқол диҳем. Дар ҳолати RDP оддӣ (бе истифодаи RDS Gateway), ... Дуруст аст, сиёсати гурӯҳӣ ба кӯмаки мо хоҳад омад.

Ба қисмат равед: Конфигуратсияи компютер - Сиёсат - Шаблонҳои маъмурӣ - Система - Интиқоли маълумот - Иҷозат додан ба интиқоли маълумоти пешфарз.

Дар ин ҷо шумо метавонед серверҳои лозимиро ба рӯйхат илова кунед ё аломати ваҳшӣ истифода баред. Чунин ба назар мерасад TERMSRV/trm.contoso.com ё TERMSRV/*.contoso.com.

Сиёсати танзимшуда.

Ҳоло, агар шумо ба тамғаи мо назар кунед, он чунин хоҳад буд:

Номи корбарро тағир додан мумкин нест.

Агар шумо RDS Gateway-ро истифода баред, шумо инчунин бояд интиқоли маълумотро дар он фаъол созед. Барои ин, дар Менеҷери IIS, дар "Усулҳои аутентификатсия" ба шумо лозим аст, ки санҷиши беномро хомӯш кунед ва аутентификатсияи Windows-ро фаъол созед.

IIS конфигуратсияшуда.

Фаромӯш накунед, ки хидматҳои вебро пас аз анҷом додани фармон бозоғоз намоед:

iisreset /noforce

Ҳоло ҳама чиз хуб аст, ҳеҷ савол ё пурсиш нест.

Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. даромад, Лутфан.

Ба ман бигӯед, ки оё шумо барои корбарони худ тамғакоғазҳои RDP имзо мекунед?

• 43%Не, онҳо одат кардаанд, ки дар паёмҳо бидуни хондани онҳо "OK" -ро пахш кунанд, баъзеҳо ҳатто қуттиҳои "Дигар напурс"-ро қайд мекунанд.28

• 29.2%Ман тамғаро бо дасти худ бодиққат мегузорам ва дар якҷоягӣ бо ҳар як корбар вориди серверро анҷом медиҳам.19

• 6.1%Албатта, ман дар хама чиз тартиботро дуст медорам.4

• 21.5%Ман серверҳои терминалро истифода намебарам.14

65 корбар овоз доданд. 14 корбар худдорӣ карданд.

Манбаъ: will.com